L’intelligence artificielle (IA) semble omnipr\u00e9sente, si bien qu’elle attire autant les fonds d’investissement que l’attention des m\u00e9dias. S’agit-il du dernier concept technologique \u00e0 la mode, ou d’un changement radical \u2013 et continu \u2013 de notre fa\u00e7on de cr\u00e9er et travailler ? Qui poss\u00e8de les donn\u00e9es d’entr\u00e9e et les r\u00e9sultats ?<\/p>\n
On consid\u00e8re que le d\u00e9veloppement de l’IA repose sur ces trois piliers : algorithmes, hardwareet donn\u00e9es<\/a>. Les donn\u00e9es repr\u00e9sentent le pilier le moins \u00ab abouti \u00bb, \u00e0 cause notamment de la question du consentement des utilisateurs.<\/p>\n L’\u00e9volution rapide de l’entra\u00eenement d’IA et de l’exploitation de cette technologie a soulev\u00e9 des inqui\u00e9tudes ayant trait au consentement des utilisateurs et aux questions \u00e9thiques concernant l’utilisation des donn\u00e9es \u00e0 caract\u00e8re personnel. Si les donn\u00e9es des utilisateurs sont utilis\u00e9es pour entra\u00eener l’IA, les utilisateurs ont-ils des droits sur les r\u00e9sultats (\u00ab outputs \u00bb) ? Les entreprises qui ont besoin de donn\u00e9es d’entra\u00eenement d’IA doivent-elles obtenir le consentement des utilisateurs pour les donn\u00e9es d\u00e9j\u00e0 publi\u00e9es en ligne ? Pour combien de finalit\u00e9s pr\u00e9cises les \u00e9diteurs d’outils ou fournisseurs de services d’IA doivent-ils obtenir le consentement explicite des utilisateurs ?<\/p>\n\n\n L’IA fait r\u00e9f\u00e9rence au d\u00e9veloppement de machines capables d’effectuer des t\u00e2ches qui requi\u00e8rent en g\u00e9n\u00e9ral une intelligence humaine. Elle couvre des domaines tels que la reconnaissance vocale ou textuelle, la r\u00e9solution de probl\u00e8mes et la prise de d\u00e9cisions. Le d\u00e9veloppement de l’IA n\u00e9cessite souvent d’alimenter les syst\u00e8mes avec \u00e9norm\u00e9ment de donn\u00e9es pour les aider \u00e0 \u00ab apprendre \u00bb.<\/p>\n L’apprentissage automatique est un sous-ensemble de l’IA qui porte sur le d\u00e9veloppement d’algorithmes et de mod\u00e8les, qui permettent aux ordinateurs d’apprendre \u00e0 partir des donn\u00e9es et de faire des pr\u00e9visions (\u00ab predictions \u00bb) ou prendre des d\u00e9cisions sans programmation explicite. C’est un moyen pour les ordinateurs d’\u00ab apprendre \u00bb \u00e0 partir d’exemples et d’am\u00e9liorer leurs performances au fil du temps.<\/p>\n Les grands mod\u00e8les de langage constituent une avanc\u00e9e r\u00e9cente de la recherche sur l’IA. Ils sont con\u00e7us pour comprendre et g\u00e9n\u00e9rer un langage de type humain. ChatGPT d’OpenAI et Bard de Google sont des exemples de LLM accessibles au public. Certaines fonctionnalit\u00e9s d\u00e9velopp\u00e9es \u00e0 l’aide de ces outils peuvent \u00eatre utilis\u00e9es \u00e0 des fins d’optimisation des moteurs de recherche, de contenu marketing et \u00e0 d’autres fins commerciales.<\/p>\n L’objectif de l’entra\u00eenement d’un LLM est de lui permettre de comprendre la structure, la signification et le contexte du langage humain, ce qui, pour une utilisation unique, permet de r\u00e9pondre plus pr\u00e9cis\u00e9ment aux demandes des personnes.<\/p>\n Les LLM sont entra\u00een\u00e9s au moyen de grandes quantit\u00e9s de texte provenant de livres, d’articles, de sites web et d’autres sources. Jusqu\u2019\u00e0 pr\u00e9sent, des probl\u00e8mes de confidentialit\u00e9 se sont pos\u00e9s lorsque des contenus ont \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9s et analys\u00e9s sans le consentement des auteurs ou des propri\u00e9taires. Il est possible que les donn\u00e9es accessibles soient sensibles, en plus d’avoir \u00e9t\u00e9 utilis\u00e9es sans consentement.<\/p>\n L’entra\u00eenement d’IA, \u00e9galement appel\u00e9 entra\u00eenement de l’apprentissage automatique, fait r\u00e9f\u00e9rence au processus qui consiste, pour un syst\u00e8me d’IA, \u00e0 assimiler des sch\u00e9mas et faire des pr\u00e9visions ou prendre des d\u00e9cisions en fonction des donn\u00e9es qui lui sont fournies. L’entra\u00eenement est essentiel au d\u00e9veloppement de syst\u00e8mes d’IA capables d’effectuer des t\u00e2ches sp\u00e9cifiques, de reconna\u00eetre des mod\u00e8les, de fournir des informations pr\u00e9cises ou de prendre des d\u00e9cisions \u00e9clair\u00e9es.<\/p>\n Le processus d’entra\u00eenement se d\u00e9roule en plusieurs \u00e9tapes. En r\u00e9sum\u00e9, on commence par obtenir des donn\u00e9es pertinentes et les pr\u00e9parer \u00e0 l’utilisation. Puis on d\u00e9finit ce que le mod\u00e8le sera cens\u00e9 faire avec les ensembles de donn\u00e9es d’entra\u00eenement de l’IA, sans oublier la saisie et l’analyse des donn\u00e9es. Il s’agit ensuite de veiller \u00e0 ce que les r\u00e9sultats ou les pronostics correspondent aux r\u00e9sultats r\u00e9els ou d’am\u00e9liorer leur pr\u00e9cision, et de garantir que le mod\u00e8le d’IA fonctionne sur n’importe quel ensemble de donn\u00e9es, y compris les donn\u00e9es r\u00e9elles \u2013 pas seulement sur les donn\u00e9es d’entra\u00eenement de l’IA. Les mod\u00e8les d’IA doivent passer toutes ces \u00e9tapes avant d’\u00eatre appliqu\u00e9s \u00e0 une utilisation plus large.<\/p>\n Les entreprises pourraient interroger la notion d’\u00ab utilisation \u00bb des donn\u00e9es \u00e0 caract\u00e8re personnel. Comment convient-il de modifier ces derni\u00e8res, afin qu’elles ne soient plus consid\u00e9r\u00e9es comme personnelles ? Par exemple, pour obtenir les donn\u00e9es dans un format compatible avec le mod\u00e8le d’entra\u00eenement, il peut \u00eatre n\u00e9cessaire de transformer le format dans lequel elles ont \u00e9t\u00e9 collect\u00e9es. Mais alors, une entreprise doit-elle obtenir un consentement pour utiliser des donn\u00e9es destin\u00e9es \u00e0 l’entra\u00eenement des mod\u00e8les d’IA alors m\u00eame que la finalit\u00e9 est exclusivement li\u00e9e \u00e0 la recherche, et non au commerce ? Il est possible que personne n’y ait jamais acc\u00e8s, \u00e0 l\u2019exception des chercheurs.<\/p>\n\n\n L’IA peut \u00eatre entra\u00een\u00e9e au moyen d’une grande vari\u00e9t\u00e9 de donn\u00e9es. Les besoins des formateurs d\u00e9pendent des objectifs assign\u00e9s au syst\u00e8me. Par exemple, r\u00e9pondre \u00e0 des questions, prendre des d\u00e9cisions, g\u00e9n\u00e9rer des graphiques ou du texte, etc.<\/p>\n Voici quelques cat\u00e9gories de donn\u00e9es d’entra\u00eenement de l’IA habituelles :<\/p>\n Un grand nombre de ces cat\u00e9gories de donn\u00e9es d’entra\u00eenement de l’IA sont explicitement vis\u00e9es dans les lois sur la protection des donn\u00e9es. Si beaucoup rel\u00e8vent des donn\u00e9es \u00e0 caract\u00e8re personnel, d’autres sont des donn\u00e9es PII, \u00e9galement appel\u00e9es informations d’identification personnelle. Certaines donn\u00e9es sont \u00e9galement class\u00e9es dans la cat\u00e9gorie \u00ab sensibles \u00bb au sens des lois sur la protection de la vie priv\u00e9e. Cela signifie que toute consultation ou utilisation non autoris\u00e9e pourrait repr\u00e9senter un v\u00e9ritable danger.<\/p>\n Les informations m\u00e9dicales, g\u00e9nomiques et financi\u00e8res constituent des exemples particuli\u00e8rement importants de donn\u00e9es \u00e0 caract\u00e8re personnel sensibles. Les donn\u00e9es sensibles n\u00e9cessitent g\u00e9n\u00e9ralement le consentement de l’utilisateur pour \u00eatre collect\u00e9es ou utilis\u00e9es en vertu de la loi sur la protection des donn\u00e9es. Toutefois, concernant les donn\u00e9es \u00e0 caract\u00e8re personnel non sensibles, il se peut qu’un consentement soit exig\u00e9 uniquement dans le cadre de la vente ou de l’utilisation de ces donn\u00e9es \u00e0 des fins de publicit\u00e9 cibl\u00e9e, de profilage, etc.<\/p>\n Il convient de rappeler que tous les lots de donn\u00e9es d’entra\u00eenement ne sont pas \u00e9gaux. La qualit\u00e9, la quantit\u00e9, la diversit\u00e9 et l’autorisation d’utilisation peuvent consid\u00e9rablement varier, ce qui peut influer grandement sur l’apprentissage et les performances des syst\u00e8mes. Par cons\u00e9quent, le consentement peut \u00eatre requis pour l’utilisation de certaines cat\u00e9gories de donn\u00e9es dans le lot d’entra\u00eenement, mais pas pour d’autres. Des donn\u00e9es mal \u00e9quilibr\u00e9es ou non diversifi\u00e9es peuvent \u00e9galement produire des r\u00e9sultats fauss\u00e9s. Les r\u00e9sultats produits peuvent s’av\u00e9rer offensants ou juridiquement pr\u00e9caires, par exemple recommandations discriminatoires ou identification inexacte.<\/p>\n En vertu de nombreuses lois sur la protection de la vie priv\u00e9e, les personnes concern\u00e9es ont le droit de faire rectifier leurs donn\u00e9es par l’entit\u00e9 qui les a collect\u00e9es si ces donn\u00e9es sont incompl\u00e8tes ou inexactes. Que se passe-t-il si les donn\u00e9es des personnes concern\u00e9es sont correctes, mais utilis\u00e9es pour produire des r\u00e9sultats inexacts ? Quels sont leurs droits ? L’utilisation de ces technologies pose de nombreuses questions complexes aux organismes de r\u00e9glementation, notamment en mati\u00e8re d’\u00e9thique de l’automatisation.<\/p>\n\n\n La soci\u00e9t\u00e9 de recherche Gartner avait anticip\u00e9 que, d’ici la fin de l’ann\u00e9e 2023, 65 % de la population mondiale<\/a> verrait ses donn\u00e9es et sa vie priv\u00e9e prot\u00e9g\u00e9es par des r\u00e9glementations modernes. D’ici 2024, elle pr\u00e9voit que ce chiffre passera \u00e0 75 %<\/a>. La port\u00e9e de la r\u00e9glementation sur la protection de la vie priv\u00e9e \u00e9volue rapidement, mais moins que la technologie elle-m\u00eame et la demande de donn\u00e9es. Car la technologie contribue \u00e0 tout : des avanc\u00e9es scientifiques aux campagnes marketing.<\/p>\n Mais les donn\u00e9es ne sont pas comme l’air. Elles ne sont pas utilisables par tout le monde, du simple fait de leur pr\u00e9sence dans notre environnement. Une grande partie des donn\u00e9es existantes, auxquelles les entreprises souhaitent acc\u00e9der, sont g\u00e9n\u00e9r\u00e9es par des personnes, qui disposent donc de droits en mati\u00e8re de protection et d’acc\u00e8s \u00e0 ces donn\u00e9es. De nos jours, les consommateurs sont de plus en plus sensibles \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel et des droits y aff\u00e9rents, m\u00eame s’ils ne comprennent peut-\u00eatre pas les tenants et les aboutissants des syst\u00e8mes d’IA et d’autres fonctions.<\/p>\n Avec l’adoption de nouvelles l\u00e9gislations en mati\u00e8re de protection de la vie priv\u00e9e et des donn\u00e9es \u00e0 l’\u00e9chelle internationale, les entreprises doivent redoubler d’efforts pour assumer leurs responsabilit\u00e9s en mati\u00e8re de protection des donn\u00e9es. Des amendes potentiellement \u00e9lev\u00e9es<\/a>, \u00e0 l’instar de celles impos\u00e9es par le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a> de l’Union europ\u00e9enne, soulignent \u00e9galement l’importance de prendre au s\u00e9rieux les r\u00e9glementations sur la confidentialit\u00e9 et les droits des consommateurs.<\/p>\n Il existe de plus en plus de sources potentielles de donn\u00e9es utilisateur, en particulier sur Internet, comme les plateformes et les applications sociales. Pour les entreprises, il peut aussi s’av\u00e9rer difficile de d\u00e9terminer leurs responsabilit\u00e9s en mati\u00e8re de protection des donn\u00e9es lorsque leur si\u00e8ge social se trouve \u00e0 un endroit, mais qu’elles ont potentiellement des utilisateurs dans le monde entier. Une organisation peut ainsi \u00eatre tenue de se conformer \u00e0 plusieurs r\u00e9glementations en mati\u00e8re de confidentialit\u00e9. Bon nombre de ces lois sont extraterritoriales, ce qui signifie que l’on prend en compte la localisation des utilisateurs pour d\u00e9terminer leurs droits et protections, et non celle des entreprises.<\/p>\n De nombreux consommateurs ne se pr\u00e9occupent pas vraiment de la quantit\u00e9 de donn\u00e9es qu’ils cr\u00e9ent au quotidien, des personnes qui peuvent y acc\u00e9der et des utilisations possibles. Bien que la plupart des lois sur la protection des donn\u00e9es exigent des protections et un consentement suppl\u00e9mentaires pour l’acc\u00e8s \u00e0 leurs donn\u00e9es, les enfants peuvent ne pas pr\u00eater attention ou ne pas enti\u00e8rement comprendre la notion de g\u00e9n\u00e9ration ou de traitement de donn\u00e9es utilisateur. Ce consentement doit g\u00e9n\u00e9ralement \u00eatre obtenu aupr\u00e8s d’un parent ou d’un tuteur l\u00e9gal, selon une limite d’\u00e2ge d\u00e9termin\u00e9e par la loi applicable.<\/p>\n Certaines lois sur la protection des donn\u00e9es ne couvrent pas les donn\u00e9es \u00e0 caract\u00e8re personnel rendues publiques par les personnes, ce qui peut englober les donn\u00e9es g\u00e9n\u00e9r\u00e9es sur les r\u00e9seaux sociaux. Les publications, les commentaires et les photos ne sont peut-\u00eatre pas une pr\u00e9occupation majeure pour certains. Mais qu’en est-il des messages priv\u00e9s ou des chats ? Ces derniers peuvent contenir des contenus bien plus sensibles.<\/p>\n Une fois les donn\u00e9es collect\u00e9es, id\u00e9alement avec le consentement de l’utilisateur, il convient de savoir ce qu’il advient de ces donn\u00e9es. La plupart des lois sur la protection de la vie priv\u00e9e imposent au responsable du traitement (l’entit\u00e9 responsable de la collecte et de l’utilisation des donn\u00e9es) d’informer les utilisateurs des donn\u00e9es qui seront collect\u00e9es et des finalit\u00e9s de cette collecte. En cas de modification de ces finalit\u00e9s, le responsable du traitement doit en informer les utilisateurs et obtenir un nouveau consentement en vertu de nombreuses lois sur la protection de la vie priv\u00e9e. En ce qui concerne l’entra\u00eenement de l’IA, un grand nombre de d\u00e9tails granulaires pourraient \u00eatre n\u00e9cessaires et \u00e9voluer rapidement.<\/p>\n\n\n \u00c9tant donn\u00e9 que les syst\u00e8mes d’IA sont souvent encore exp\u00e9rimentaux et que leurs r\u00e9sultats sont impr\u00e9visibles, certaines exigences en mati\u00e8re de protection des donn\u00e9es sont difficiles \u00e0 respecter. Les entreprises peuvent informer les utilisateurs des finalit\u00e9s d’utilisation des donn\u00e9es, mais il est possible que ces derni\u00e8res soient finalement utilis\u00e9es ou modifi\u00e9es \u00e0 des fins diff\u00e9rentes, ou que les r\u00e9sultats d\u00e9coulant de leur utilisation soient distincts.<\/p>\n Bien que les utilisateurs soient cens\u00e9s \u00eatre avertis avant la mise en place d’une nouvelle finalit\u00e9, les plus scrupuleux des utilisateurs peuvent passer \u00e0 c\u00f4t\u00e9 du changement avant qu’il ne se produise. Si les donn\u00e9es sont analys\u00e9es en grande quantit\u00e9 en temps r\u00e9el, les m\u00e9canismes traditionnels d’obtention du consentement des utilisateurs, tels que les bandeaux cookies, peuvent ne pas \u00eatre assez rapides, granulaires ou suffisants.<\/p>\n Les syst\u00e8mes d’IA orient\u00e9s utilisateur peuvent \u00eatre potentiellement trompeurs, auquel cas les utilisateurs fournissent des informations qu’ils n’avaient pas anticip\u00e9es. Les syst\u00e8mes peuvent \u00e9galement faire appara\u00eetre des liens plus sophistiqu\u00e9s et plus n\u00e9buleux entre les points de donn\u00e9es, ce qui permet l’identification et le profilage \u00e0 un niveau in\u00e9dit. Ainsi, la plupart des donn\u00e9es seraient consid\u00e9r\u00e9es comme des donn\u00e9es d’identification ou sensibles. Les exigences actuelles en mati\u00e8re de consentement peuvent ne pas r\u00e9pondre de mani\u00e8re ad\u00e9quate \u00e0 ce probl\u00e8me.<\/p>\n Bien que les fonctions de manipulation de l’interface utilisateur et de l’exp\u00e9rience utilisateur, commun\u00e9ment appel\u00e9es \u00ab interfaces truqu\u00e9es<\/a> \u00bb (dark patterns), soient de plus en plus point\u00e9es du doigt, voire r\u00e9glement\u00e9es dans certains cas, elles tendent \u00e0 se concentrer sur des tactiques d\u00e9j\u00e0 connues. Une conception r\u00e9active pourrait permettre le d\u00e9veloppement de nouvelles m\u00e9thodes plus sophistiqu\u00e9es de manipulation des utilisateurs.<\/p>\n\n\n Zoom, plateforme de visioconf\u00e9rence populaire, a mis \u00e0 jour ses conditions de service (terms of service \u2013 TOS) en mars 2023. Jusque-l\u00e0, rien d’inhabituel pour une entreprise. Cependant, deux sections semblaient avoir de grandes implications pour les autorisations de Zoom concernant les donn\u00e9es utilisateur, appel\u00e9es \u00ab donn\u00e9es g\u00e9n\u00e9r\u00e9es par le service \u00bb, qui comprennent la t\u00e9l\u00e9m\u00e9trie, l’utilisation du produit, les diagnostics, ainsi que les donn\u00e9es ou le contenu similaires g\u00e9n\u00e9r\u00e9s par l’utilisation de Zoom et que l’entreprise collecte au cours de l’utilisation de la plateforme.<\/p>\n Les conditions de service actualis\u00e9es accordent \u00e0 Zoom tous les droits sur les donn\u00e9es g\u00e9n\u00e9r\u00e9es par le service, y compris les droits de modification, de distribution, de traitement, de partage, de gestion, et de conservation des donn\u00e9es \u00ab \u00e0 quelque fin que ce soit, dans la mesure et de la mani\u00e8re autoris\u00e9es par la loi applicable \u00bb. La plateforme a explicitement mentionn\u00e9 son droit d’utiliser les donn\u00e9es utilisateur pour l’apprentissage automatique et l’intelligence artificielle, y compris les mod\u00e8les et algorithmes d’entra\u00eenement et de r\u00e9glage.<\/p>\n Ainsi, Zoom pouvait collecter une vari\u00e9t\u00e9 de donn\u00e9es utilisateur par le biais de l’utilisation de sa plateforme et les utiliser \u00e0 de nombreuses fins, y compris \u00e0 l’entra\u00eenement de l’IA, sans devoir obtenir le consentement explicite des utilisateurs ni leur donner la possibilit\u00e9 de refuser.<\/p>\n Cela peut \u00eatre l\u00e9gal en vertu des lois de protection de la vie priv\u00e9e en vigueur aux \u00c9tats-Unis, o\u00f9 le si\u00e8ge social de Zoom est situ\u00e9 (o\u00f9 il n’existe pas une seule et unique loi f\u00e9d\u00e9rale, mais un certain nombre de lois applicables selon l’\u00c9tat concern\u00e9). Une chose est s\u00fbre, c’est ill\u00e9gal en vertu du RGPD de l’UE, qui exige notamment que le consentement soit\u00ab inform\u00e9 \u00bb (Consid\u00e9rant 32 du RGPD<\/a>).<\/p>\n En vertu du RGPD, pour que le consentement soit valide, il doit \u00e9galement \u00eatre obtenu pr\u00e9alablement \u00e0 la collecte des donn\u00e9es et doit \u00eatre notifi\u00e9 aux utilisateurs de mani\u00e8re claire et compr\u00e9hensible. Les conditions de service de Zoom sont assez floues, tout comme celles de nombreuses autres entreprises.<\/p>\n La d\u00e9couverte et la couverture m\u00e9diatique de ce changement des conditions de service ont provoqu\u00e9 un v\u00e9ritable toll\u00e9. Les entreprises craignaient que les informations exclusives issues de r\u00e9unions confidentielles puissent \u00eatre utilis\u00e9es sans consentement, ou que Zoom s’approprie leur contenu cr\u00e9atif, comme des interviews pour des vid\u00e9os ou des podcasts.<\/p>\n Certaines entreprises am\u00e9ricaines utilisant Zoom \u00e0 des fins m\u00e9dicales ont soulev\u00e9 de profondes inqui\u00e9tudes concernant des violations de la loi HIPAA (Health Insurance Portability and Accountability Act)<\/a> sur la protection de la vie priv\u00e9e. Ces inqui\u00e9tudes concernaient notamment la possibilit\u00e9 que l’entreprise poss\u00e8de et puisse utiliser le contenu des s\u00e9ances de th\u00e9rapie, par exemple. Bien que Zoom n’ait peut-\u00eatre m\u00eame pas envisag\u00e9 ces utilisations des donn\u00e9es, la perception du public est redoutable.<\/p>\n En r\u00e9ponse, Zoom a publi\u00e9 une nouvelle mise \u00e0 jour des conditions de service<\/a> pour clarifier l’utilisation des donn\u00e9es, en indiquant que l’entreprise n’entra\u00eenerait pas ses mod\u00e8les d’IA \u00e0 l’aide des contenus audio, vid\u00e9o ou de chat des consommateurs sans leur consentement pr\u00e9alable.<\/p>\n La ligne suivante a \u00e9galement \u00e9t\u00e9 ajout\u00e9e \u00e0 la section 10.2 : \u00ab Zoom n’utilise aucun Contenus client audio,vid\u00e9o, chat, partage d’\u00e9cran, pi\u00e8ces jointes ou autres communications comme le Contenu client (tel que les r\u00e9sultats des sondages, les tableaux blancs et les r\u00e9actions) pour entra\u00eener les mod\u00e8les d\u2019intelligence artificielle de Zoom ou de tiers.<\/em> \u00bb<\/p>\n Certaines inqui\u00e9tudes demeurent toutefois quant aux nombreuses autorisations apparemment accord\u00e9es \u00e0 Zoom en cas d’obtention du consentement et \u00e0 la notion de \u00ab contenu g\u00e9n\u00e9r\u00e9 par le service \u00bb qui gagnerait \u00e0 \u00eatre clarifi\u00e9e.<\/p>\n Point important, Zoom n’est pas un cas isol\u00e9. D’autres entreprises ont recours \u00e0 l’IA pour certaines fonctionnalit\u00e9s de leurs plateformes. Chez Google, elle sert \u00e0 cr\u00e9er des transcriptions<\/a> des appels Google Meet (avec des r\u00e9sultats de qualit\u00e9 variable). En 2022, Meta (soci\u00e9t\u00e9 m\u00e8re de Facebook) a \u00e9galement \u00e9t\u00e9 accus\u00e9e de \u00ab cacher\u00bb le consentement pour l’utilisation des donn\u00e9es utilisateur \u00e0 des fins de publicit\u00e9 personnalis\u00e9e<\/a> dans ses conditions de service. En janvier 2023, l’entreprise s’est vu interdire l’utilisation de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins publicitaires<\/a> avec ce type de \u00ab consentement \u00bb, dont la plupart des utilisateurs n’avaient pas connaissance. Meta a depuis annonc\u00e9 son intention de changer de mod\u00e8le et de demander le consentement pour la publicit\u00e9 au sein de l’UE.<\/p>\n De la m\u00eame fa\u00e7on, d’autres entreprises ont \u00e9t\u00e9 accus\u00e9es d’user de tactiques non transparentes. Certaines ont enfoui le \u00ab consentement \u00bb ou les autorisations douteuses dans leurs conditions de service, sachant pertinemment que peu d’utilisateurs les lisent en d\u00e9tail. Il s’agit d’une pratique douteuse, voire ill\u00e9gale, car de nombreuses r\u00e9glementations exigent que les utilisateurs soient inform\u00e9s de leur droit de donner leur consentement ou non.<\/p>\n La n\u00e9cessit\u00e9 de fournir des informations plus claires concernant l’entra\u00eenement de l’IA, le contenu g\u00e9n\u00e9r\u00e9 par les utilisateurs sur les plateformes et le consentement est bien pr\u00e9sente, et elle ne cessera de s’intensifier au fil du temps.<\/p>\n\n\n Les entreprises qui acqui\u00e8rent des donn\u00e9es pour l’entra\u00eenement de l’IA ou d’autres utilisations peuvent et doivent s’assurer que le consentement a bien \u00e9t\u00e9 obtenu aupr\u00e8s des sources ou des utilisateurs. Dans certains cas, il peut s’agir d’une exigence afin de pouvoir nouer une relation commerciale avec des partenaires ou des fournisseurs.<\/p>\n Le consentement devient \u00e9galement un \u00e9l\u00e9ment important de la strat\u00e9gie de mon\u00e9tisation. Par exemple, les annonceurs premium insistent de plus en plus sur la preuve de consentement \u00e0 la collecte des donn\u00e9es utilisateur avant de collaborer avec les d\u00e9veloppeurs d’applications.<\/p>\n Les entreprises qui collectent des donn\u00e9es utilisateur via leurs propres plateformes ou utilisateurs pour l’entra\u00eenement de l’IA ou d’autres utilisations, ont la responsabilit\u00e9 directe d’obtenir un consentement valable et de se conformer aux lois sur la protection des donn\u00e9es. Il existe plusieurs fa\u00e7ons pour les entreprises de respecter la conformit\u00e9 et d’obtenir un consentement valable.<\/p>\n Transparence :<\/strong> les lois sur la protection de la vie priv\u00e9e exigent des notifications claires et accessibles, et les entreprises doivent fournir aux utilisateurs des informations compr\u00e9hensibles sur la fa\u00e7on dont les donn\u00e9es utilisateur seront utilis\u00e9es et trait\u00e9es, y compris dans le cadre de l’entra\u00eenement de l’IA. Lorsque les finalit\u00e9s d\u2019utilisation des donn\u00e9es \u00e0 caract\u00e8re personnel changent, les entreprises doivent mettre \u00e0 jour leurs d\u00e9clarations de confidentialit\u00e9, informer les utilisateurs et, en vertu de nombreuses lois sur la protection de la vie priv\u00e9e, renouveler le consentement pour les nouvelles finalit\u00e9s d\u2019utilisation des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n Consentement granulaire :<\/strong> les utilisateurs doivent \u00eatre en mesure d’accepter ou de refuser la collecte et le traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 un niveau d\u00e9taill\u00e9, en approuvant par exemple certains types de traitement (comme la publicit\u00e9 cibl\u00e9e ou l’entra\u00eenement de l’IA), mais pas d’autres (comme la vente des donn\u00e9es). Cela permet \u00e9galement de s’assurer que les personnes concern\u00e9es sont inform\u00e9es, ce qui constitue une exigence de validit\u00e9 du consentement en vertu de la plupart des lois sur la protection de la vie priv\u00e9e.<\/p>\n M\u00e9canismes conviviaux :<\/strong> \u00e0 l’instar des exigences de clart\u00e9 et d’accessibilit\u00e9 des notifications, il doit \u00eatre ais\u00e9 pour les utilisateurs de comprendre et d’acc\u00e9der \u00e0 l’option permettant d’accepter ou de refuser le consentement. Les renseignements destin\u00e9s \u00e0 informer les utilisateurs sur le traitement des donn\u00e9es doivent \u00eatre disponibles, ainsi que la possibilit\u00e9 de consentir ou de refuser \u00e0 un niveau granulaire. En outre, il doit \u00eatre aussi ais\u00e9 de refuser le consentement que de l’accepter. En vertu de nombreuses lois sur la protection de la vie priv\u00e9e, les utilisateurs doivent \u00eatre en mesure de modifier facilement leurs pr\u00e9f\u00e9rences de consentement.<\/p>\n Connaissance des r\u00e9glementations :<\/strong> les lois sur la protection des donn\u00e9es varient selon les pays\/r\u00e9gions, avec des exigences et des mod\u00e8les de consentement diff\u00e9rents. Il est crucial pour les entreprises de savoir quelles lois respecter et de quelle fa\u00e7on. Il est important de consulter ou de nommer un juriste qualifi\u00e9 ou un expert en protection de la vie priv\u00e9e, par exemple un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD), voire obligatoire, au titre de certaines lois sur la protection de la vie priv\u00e9e. Ce r\u00f4le permet d’\u00e9tablir des directives et des processus, de mettre \u00e0 jour les op\u00e9rations et de g\u00e9rer la s\u00e9curit\u00e9 des donn\u00e9es et du traitement.<\/p>\n\n\n Les droits des consommateurs concernant leurs donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e9pendent d’un certain nombre de facteurs, notamment du lieu de r\u00e9sidence de l\u2019utilisateur et de la l\u00e9gislation en mati\u00e8re de protection de la vie priv\u00e9e en vigueur, de l’objet de la plateforme et des donn\u00e9es que l’utilisateur fournit ou g\u00e9n\u00e8re sur celle-ci, ainsi que des conditions de service de la plateforme.<\/p>\n Dans l’Union europ\u00e9enne, les entreprises qui collectent et traitent des donn\u00e9es \u00e0 caract\u00e8re personnel doivent obtenir le consentement de l’utilisateur au pr\u00e9alable. Cela s’applique \u00e9galement aux plateformes de r\u00e9seaux sociaux, aux blogs, aux sites web gouvernementaux ou aux boutiques d’e-commerce. Les donn\u00e9es des utilisateurs peuvent \u00eatre collect\u00e9es pour analyser l’utilisation d’un site et am\u00e9liorer son fonctionnement, effectuer des achats en ligne, afficher des publicit\u00e9s ou entra\u00eener des mod\u00e8les d’IA.<\/p>\n En vertu de plusieurs r\u00e9glementations, les plateformes internationales utilis\u00e9es pour les activit\u00e9s financi\u00e8res ou les soins de sant\u00e9 sont soumises \u00e0 des exigences plus strictes en mati\u00e8re de protection de la vie priv\u00e9e et de s\u00e9curit\u00e9 en raison du type d’informations g\u00e9r\u00e9es.<\/p>\n Dans certain(e)s pays\/r\u00e9gions, il est toujours autoris\u00e9 d’afficher un bandeau cookies indiquant que que vous consentez \u00e0 la collecte et \u00e0 l’utilisation de vos donn\u00e9es personnelles en continuant \u00e0 utiliser le site ou le service.. En revanche, dans l’UE et dans d\u2019autres juridictions, ce n’est pas acceptable et un consentement granulaire est requis.<\/p>\n\n\n L’utilisation des cookies en ligne a tendance \u00e0 baisser depuis que des technologies plus r\u00e9centes et performantes, et remplissant les m\u00eames fonctions, sont apparues. \u00c0 pr\u00e9sent, la question porte moins sur la fa\u00e7on dont l’IA utilise ou peut utiliser les cookies, mais davantage sur la mani\u00e8re dont l’IA pourrait acc\u00e9l\u00e9rer le remplacement des cookies.<\/p>\n Apple et Mozilla ont bloqu\u00e9 les cookies tiers et Google pr\u00e9voit de les rendre compl\u00e8tement obsol\u00e8tes. Les nouvelles techniques permettent \u00e9galement d\u2019am\u00e9liorer la protection des donn\u00e9es et le consentement, et peuvent aboutir \u00e0des donn\u00e9es utilisateur de meilleure qualit\u00e9.<\/p>\n Les mod\u00e8les de consentement aux cookies actuels peuvent \u00eatre insuffisants pour couvrir l’utilisation de l’IA. En effet, les syst\u00e8mes d’IA sont capables d’analyser de grandes quantit\u00e9s de donn\u00e9es en temps r\u00e9el, tandis que d’autres outils analysent les donn\u00e9es li\u00e9es aux cookies actifs au fil du temps. Pour donner son consentement avant le d\u00e9but de la collecte ou de l’utilisation des donn\u00e9es avec les fen\u00eatres contextuelles actuelles, il faudrait que l’utilisateur soit bombard\u00e9 de banni\u00e8res de consentement, trop rapides et nombreuses pour pouvoir \u00eatre trait\u00e9es par un humain.<\/p>\n Les mod\u00e8les d’IA peuvent proposer des publicit\u00e9s plus efficaces ou des exp\u00e9riences utilisateur personnalis\u00e9es sans d\u00e9pendre de la collecte de donn\u00e9es d’identification personnelle. En effet, ces mod\u00e8les analysent tr\u00e8s rapidement de grandes quantit\u00e9s de donn\u00e9es et regroupent les personnes en diff\u00e9rents publics selon leur comportement. Si le syst\u00e8me n’a pas besoin de collecter les donn\u00e9es utilisateur, le consentement peut ne pas \u00eatre n\u00e9cessaire, au moins pour la collecte des donn\u00e9es.<\/p>\n Toutefois, les lois et les bonnes pratiques continueraient probablement d’exiger que les utilisateurs soient inform\u00e9s de la mani\u00e8re dont leurs comportements peuvent \u00eatre suivis et analys\u00e9s, et des finalit\u00e9s de cette analyse (publicit\u00e9s personnalis\u00e9es ou exp\u00e9riences d’achat, par exemple). Il faut dire que les donn\u00e9es \u00e0 caract\u00e8re personnel des personnes ne pourraient pas \u00eatre vendues si elles n’avaient jamais \u00e9t\u00e9 collect\u00e9es.<\/p>\n\n\n La loi europ\u00e9enne sur l’IA<\/a> est une loi sur l’intelligence artificielle propos\u00e9e par la Commission europ\u00e9enne. Il s’agit de la premi\u00e8re loi g\u00e9n\u00e9rale sur l’IA dans le monde. L’objectif est d’\u00e9quilibrer les utilisations positives de la technologie tout en att\u00e9nuant les utilisations n\u00e9gatives et en codifiant les droits. Elle vise \u00e9galement \u00e0 r\u00e9pondre \u00e0 de nombreuses questions actuelles et futures sur le d\u00e9veloppement de l’IA et \u00e0 faire de la loi une norme mondiale, \u00e0 l’instar du RGPD.<\/p>\n La loi classerait les applications de l’IA dans l’une des cat\u00e9gories suivantes :<\/p>\n Risque inacceptable <\/strong>: IA pr\u00e9sentant des risques inacceptables devant \u00eatre enti\u00e8rement interdite, comme l’outil de notation sociale du gouvernement chinois.<\/p>\n Risque \u00e9lev\u00e9<\/strong> : IA comportant des risques potentiels, autoris\u00e9e sous r\u00e9serve de la conformit\u00e9 aux exigences de l’IA et de l’\u00e9valuation de conformit\u00e9 pr\u00e9vue, comme un outil classant des candidats \u00e0 l’emploi sur la base d’une analyse automatique de leur CV.<\/p>\n Risque moyen<\/strong> : IA comportant des obligations de transparence sp\u00e9cifiques, autoris\u00e9e, mais soumise \u00e0 des exigences en mati\u00e8re d’informations, comme des bots pouvant \u00eatre utilis\u00e9s pour usurper l’identit\u00e9.<\/p>\n Risque minimal ou nul<\/strong> : IA sans risques notables, autoris\u00e9e sans restrictions.<\/p>\n\n\n La loi sur l’IA en est actuellement \u00e0 un stade pr\u00e9liminaire et peut changer avant d’\u00eatre promulgu\u00e9e. \u00c0 l’heure actuelle, le consentement des utilisateurs ainsi que la confidentialit\u00e9 et la protection des donn\u00e9es apparaissent dans ses dispositions \u00e0 plusieurs niveaux :<\/p>\n Risque \u00e9lev\u00e9<\/strong> : un consentement explicite est requis pour l’utilisation de syst\u00e8mes d’IA \u00e0 haut risque, notamment pour les infrastructures critiques, l’emploi, la sant\u00e9 et l’application de la loi.<\/p>\n Transparence<\/strong> : les fournisseurs d’IA doivent apporter des informations claires sur l’objectif, les capacit\u00e9s et les limites des syst\u00e8mes afin de garantir que les utilisateurs sont inform\u00e9s pour prendre des d\u00e9cisions et comprendre les cons\u00e9quences potentielles sur leurs droits.<\/p>\n Droit d’explication<\/strong> : les utilisateurs ont le droit d’obtenir des explications pertinentes sur les d\u00e9cisions des syst\u00e8mes d’IA.<\/p>\n Droit de contr\u00f4le de l’utilisateur<\/strong> : les utilisateurs doivent avoir la possibilit\u00e9 de refuser, de d\u00e9sactiver ou de d\u00e9sinstaller les syst\u00e8mes d’IA, en particulier lorsque des droits ou int\u00e9r\u00eats fondamentaux sont en jeu (en vertu de certaines lois sur la protection de la vie priv\u00e9e, les utilisateurs ont le droit de refuser la \u00ab prise de d\u00e9cision automatis\u00e9e \u00bb).<\/p>\n Protection des donn\u00e9es et de la vie priv\u00e9e<\/strong> : la loi sur l’IA met l’accent sur la n\u00e9cessit\u00e9 de minimiser les donn\u00e9es, de limiter les finalit\u00e9s et de garantir la protection des donn\u00e9es \u00e0 caract\u00e8re personnel lors de l’utilisation des syst\u00e8mes d’IA, et s’aligne sur les r\u00e9glementations existantes en mati\u00e8re de protection des donn\u00e9es, telles que le RGPD.<\/p>\n\n\n L’intelligence artificielle n’est pas pr\u00e8s de dispara\u00eetre, et ses capacit\u00e9s et cas d’utilisation potentiels ne cesseront d’\u00e9voluer. Cette \u00e9volution rapide constitue un d\u00e9fi pour la r\u00e9glementation, car les technologies se d\u00e9veloppent bien plus vite que le processus de cr\u00e9ation et de r\u00e9forme des lois.<\/p>\n Cependant, les utilisateurs ne doivent pas \u00eatre confront\u00e9s au principe de \u00ab caveat emptor \u00bb (ce serait \u00e0 eux d’assumer les risques), en particulier en ligne, pour ce qui est des nouvelles utilisations de leurs donn\u00e9es \u00e0 caract\u00e8re personnel et des d\u00e9fis li\u00e9s \u00e0 la protection de la vie priv\u00e9e. Les organismes de r\u00e9glementation doivent \u00e9laborer et mettre \u00e0 jour des lois claires et compl\u00e8tes, mais suffisamment flexibles pour pouvoir \u00eatre interpr\u00e9t\u00e9es et appliqu\u00e9es, aujourd’hui comme demain.<\/p>\n Les entreprises doivent identifier clairement les r\u00e9glementations en mati\u00e8re de protection de la vie priv\u00e9e applicables, et comprendre leurs contenus et leurs cons\u00e9quences sur leurs activit\u00e9s. Il conviendra de revoir r\u00e9guli\u00e8rement ces aspects et de communiquer clairement dessus, au fur et \u00e0 mesure que les activit\u00e9s de l’entreprise changent. Le fait d’essayer d’introduire subrepticement des modifications aux conditions d’utilisation ou d’utiliser les donn\u00e9es collect\u00e9es \u00e0 de nouvelles fins sans renouveler le consentement de l’utilisateur est le parfait moyen de nuire \u00e0 la r\u00e9putation de la marque. Dans plusieurs pays, ce sont des actes ill\u00e9gaux. \u00c0 mesure que les consommateurs d\u00e9veloppent leurs connaissances en mati\u00e8re de donn\u00e9es et de confidentialit\u00e9, les entreprises devront redoubler d’attention quant \u00e0 la clart\u00e9 des informations qu’elles fournissent sur la collecte et l’utilisation des donn\u00e9es.<\/p>\nQu’est-ce que l’intelligence artificielle (IA) ?<\/h2>\n\n\n
Qu’est-ce que l’apprentissage automatique (machine learning \u2013 ML) ?<\/h3>\n
Qu’est-ce qu’un grand mod\u00e8le de langage (large language model \u2013 LLM) ?<\/h3>\n
Qu’est-ce que l’entra\u00eenement d’IA ?<\/h2>\n
Ambigu\u00eft\u00e9s dans l’utilisation des ensembles de donn\u00e9es d’entra\u00eenement de l’IA<\/h3>\n
Quelles donn\u00e9es servent \u00e0 entra\u00eener l’IA ?<\/h2>\n\n\n
\n
Inqui\u00e9tudes li\u00e9es au consentement concernant les diff\u00e9rentes cat\u00e9gories de donn\u00e9es d’entra\u00eenement de l’IA<\/h3>\n
Consentement, IA et donn\u00e9es \u00e0 caract\u00e8re personnel<\/h2>\n\n\n
L’origine des ensembles de donn\u00e9es d’entra\u00eenement de l’IA est-elle importante ?<\/h3>\n
Difficult\u00e9s li\u00e9es \u00e0 l’obtention du consentement des utilisateurs en mati\u00e8re d’IA<\/h2>\n\n\n
La pol\u00e9mique Zoom et le consentement de l’utilisateur<\/h2>\n\n\n
La r\u00e9ponse de Zoom \u00e0 la controverse sur le changement des conditions de service<\/h3>\n
Autres d\u00e9fis li\u00e9s aux entreprises technologiques, aux conditions de service et au consentement<\/h3>\n
Comment les entreprises peuvent-elles utiliser les donn\u00e9es de mani\u00e8re \u00e9thique avec un consentement utilisateur valable ?<\/h2>\n\n\n
Quels sont les droits des utilisateurs de plateformes en ligne sur leurs donn\u00e9es ?<\/h2>\n\n\n
Intelligence artificielle et cookies<\/h2>\n\n\n
Qu’est-ce que la loi europ\u00e9enne sur l’IA ?<\/h2>\n\n\n
Dispositions relatives au consentement dans la loi sur l’IA<\/h2>\n\n\n
Conclusion : quel avenir pour l’IA et le consentement ?<\/h2>\n\n\n